Een nieuwe hackersgroep genaamd 'Black Basta' timmert hard aan de weg. In de tweede week van april maakte de groep zijn eerste slachtoffer. In de daarop volgende week vielen meerdere bedrijven ten prooi aan de ransomware-aanvallen van Black Basta.
Slachtoffer | Cybercriminelen | Website | Land |
---|---|---|---|
TÜV NORD GROUP | Black Basta | www.tuev-nord.de | Germany |
Plauen Stahl Technologie GmbH | Black Basta | www.plauen-stahl.de | Germany |
Oralia | Black Basta | oralia.fr | France |
Boswell Engineering | Black Basta | www.boswellengineering.com | USA |
LECHLER S.p.A. | Black Basta | www.lechler.eu | Italy |
Laiteries Reunies Societe cooperative | Black Basta | lrgg.ch | Switzerland |
IMA Schelling Group | Black Basta | www.imaschelling.com | Germany |
LACKS | Black Basta | www.lacks.com | USA |
Basler Versicherungen | Black Basta | www.basler.de | Germany |
Deutsche Windtechnik | Black Basta | www.deutsche-windtechnik.de | Germany |
Volgens de techsite Bleepingcomputer is er vrij weinig bekend over Black Basta. Ze maken bijvoorbeeld geen reclame voor hun aanvallen en rekruteren ook geen hackers of andere medewerkers via populaire hacking fora. Het gebrek aan publiciteit betekent echter niet dat de hackersgroep niet of minder actief is dan andere groeperingen.
Werkwijze Black Basta
De werkwijze van Black Basta is vergelijkbaar met die van andere hackerscollectieven. De groep gebruikt gijzelsoftware om de computersystemen van hun slachtoffers binnen te dringen. Eenmaal binnen stelen ze bedrijfsgevoelige en vertrouwelijke informatie en documenten. Vervolgens plaatsen ze alle bestanden achter slot en grendel met ransomware.
Om hun losgeld zo snel mogelijk op te strijken, voert Black Basta de druk op bij slachtoffers. De groep dreigt alle buitgemaakte gegevens openbaar te maken, tenzij de gedupeerde losgeld betaalt om publicatie te voorkomen. Om hun woorden kracht bij te zetten, publiceert de hackersgroep steeds meer gestolen data. Dit doen de hackers net zolang totdat het slachtoffer betaalt. Dit noemen we ook wel double extortion.
Leak sites Darkweb
Black Basta heeft verschillende webpagina’s op het darkweb, zoals de Black Basta Blog en Basta News. Deze sites zijn alleen via de webbrowser Tor toegankelijk. Daar vindt je niet alleen een lijst met slachtoffers, maar vaak ook een sample van de gegevens die de hackersgroep gestolen heeft.
Als de gijzelsoftware van Black Basta eenmaal een systeem heeft geïnfecteerd, worden alle bestanden afgeschermd. Deze bestanden zijn te herkennen aan een icoontje met de extensie .basta. In een tekstbestand staat een URL en login ID die naar een helpdesk leidt. Via deze Chat Black Baste kunnen slachtoffers onderhandelen over de hoogte van het losgeld. De hackers beloven een beveiligingsrapport op te stellen nadat het losgeld is betaald.
Rebranding Conti
BleepingComputer denkt dat Black Basta een rebranding is van een ervaren hackersgroep. MalwareHunterTeam wijst via Twitter op de overeenkomsten met Conti. Zo hebben de websites van de groep de look and feel van Conti en is de manier waarop de helpdesk communiceert met slachtoffers nagenoeg hetzelfde. Door onder een andere naam te opereren, hopen de hackers de opsporingsinstanties op een dwaalspoor te zetten.
So this Black Basta ransomware gang must have something to do with Conti:
— MalwareHunterTeam (@malwrhunterteam) April 27, 2022
- The leak site feels to much similar to Conti's.
- The payment site is some too.
- How their support people talking is also basically same.
- How they/their support people behaves also reminds me of Conti.
Conti was volgens beveiligingsonderzoekers vorig jaar verantwoordelijk voor 13 procent van alle wereldwijde ransomware-aanvallen. Ook hier in Nederland zijn er recentelijk slachtoffers gevallen. De groep zit naar verluidt achter de cyberaanval op meerdere woningcorporaties. De hackersgroep eist 15 miljoen euro aan losgeld.
De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.
Bron: malwrhunterteam, bleepingcomputer.com, vpngids.nl
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer ransomware nieuws
Belgie: Nu ook bedrijf in Tielt getroffen door ransomware
Opnieuw is een bedrijf getroffen door zogenoemde gijzelsoftware. Computers van Mitsubishi Chemical Advanced Materials in Tielt werden vorige week geïnfecteerd met ransomware. Volgens de directie komt de productie echter niet in het gedrang. Zo’n 15 à 20 werknemers van de administratieve dienst zijn momenteel wel technisch werkloos.
Onderzoeksinstituut Wetsus week gegijzeld door ransomware
Het netwerk van onderzoeksinstituut Wetsus in Leeuwarden is acht dagen gegijzeld geweest door ransomware. Dat meldt de Leeuwarder Courant. Wetsus betaalde losgeld, maar kreeg niet meteen alle ‘sleutels’ terug.
Belgie: 1.700 computers Atlas College Genk geblokkeerd
Het Atlas College in Genk is vanochtend het slachtoffer geworden van computerhackers die opereren vanuit Zwitserland. “De 1.700 computers in het netwerk van onze school zijn onbruikbaar gemaakt, versleuteld. De hackers hebben in een mail om losgeld gevraagd. De Federal Computer Crime Unit en het parket onderzoeken de zaak”, zegt algemeen directeur Christel Schepers van het Atlas College.
Mysterieuze nieuwe Ransomware richt zich op industriële besturingssystemen
Kamer vragen over losgeld na ransomware aanvallen
D66 heeft minister Grapperhaus van Justitie en Veiligheid om duidelijkheid gevraagd over het betalen van losgeld door publieke instanties bij ransomware aanvallen. De aanleiding voor de Kamervragen is een artikel op Security.NL over cyberverzekeringen die voor een toename van ransomware-aanvallen zouden zorgen. Maar ook het nieuws dat de Universiteit Maastricht losgeld betaalde om door ransomware versleutelde bestanden terug te krijgen. Deze ontwikkelingen zijn mogelijk stimulerend voor cybercriminelen omdat de kans op betaling voor ransomware lijkt toe te nemen.
Cybercriminelen beproeven hun geluk met Ransomware
Talloze cybercriminelen kiezen ervoor hun geluk te beproeven met het creëren en verspreiden van ransomware-bedreigingen. De toegangsbarrière als het gaat om het creëren van een ransomware-bedreiging is vrij laag. Dit komt omdat er verschillende bouwpakketten voor ransomware zijn, evenals gevestigde Trojans voor gegevensvergrendeling waarvan de code gemakkelijk online beschikbaar is (darkweb). Dit verklaart waarom de meeste nieuw gespotte ransomware-bedreigingen slechts kopieën zijn van reeds bestaande Trojaanse paarden die bestanden coderen. Sommige cybercriminelen bouwen hun bedreigingen echter helemaal opnieuw op. Dit lijkt te zijn wat er gebeurt met de 'Zeoticus' Ransomware.
Ransomware: cybercriminelen voegen een nieuwe wending toe aan hun eisen
Cybercriminelen versleutelen niet alleen uw gegevens maar dreigen steeds vaker met het lekken van de gestolen data, dit lijkt een nieuwe trend te worden, waarschuwen cybersecuritybedrijven..
Criminele organisaties: Ransomware-as-a-Service verdienpotentieel vergroten
Cybercriminelen blijven het digitale aanvalsoppervlak afspeuren naar nieuwe aanvalsmogelijkheden, zoals internetinfrastructuren en protocollen voor netwerkcommunicatie. De reden hiervoor is dat steeds meer organisaties hun personeel beveiligingstraining en -voorlichting aanbieden, zodat populaire aanvalstechnieken zoals phishing minder succesvol zijn.
Ransomware Sodinokibi (REvil) gijzelen computersystemen GWK Travelex
Alle systemen en websites van GWK Travelex werden vorig week al offline gehaald. Het wisselkantoor meldde toen getroffen te zijn door een computervirus.
Losgeld betalen aan cybercriminelen?!
De Universiteit Maastricht zou enkele tonnen betaald hebben aan cybercriminelen om de systemen weer draaiend te krijgen. Maar losgeld betalen is niet zonder risico: ‘Ze kunnen actief blijven op je netwerk'.
Hoe ransomware zich verspreidt: 9 meest voorkomende infectiemethoden
Hoewel ransomware misschien steeds geavanceerder wordt, is het belangrijk om te onthouden dat het nog steeds aan dezelfde regels moet voldoen als gewone oude malware.
Meer geavanceerde ransomware in 2019
Verschillende Nederlandse bedrijven zijn getroffen door geavanceerde gijzelsoftware in 2019. Dat blijkt uit een vertrouwelijk rapport van het Nationaal Cyber Security Centrum.